阿里云互通AWS全球region解決方案

一、背景說明

我們公司是做全球化業(yè)務(wù)的公司，在中國我們用的阿里云，在海外我們使用AWS，中國訪問海外的region資源，這是最基本的需求之一，在運(yùn)維層面，領(lǐng)導(dǎo)要求一套平臺(tái)實(shí)現(xiàn)全球管理，也就是說我們的監(jiān)控、發(fā)布、跳板機(jī)等等所有運(yùn)維工具只部署一套，再加上我們每個(gè)region有三個(gè)VPC，VPC之間默認(rèn)是隔離的，我們?cè)诤Ｍ饽壳坝袃蓚€(gè)region，也就是6個(gè)VPC，如果要從國內(nèi)阿里云拉專線到海外，實(shí)現(xiàn)訪問海外所有VPC，那需要拉6根專線，只似乎有點(diǎn)不現(xiàn)實(shí)，了解到AWS十月份出了一個(gè)直連網(wǎng)關(guān)的服務(wù)，只要拉一條專線到AWS海外的任意一個(gè)region，就可以實(shí)現(xiàn)專線到海外AWS任意region的所有VPC互通，關(guān)于直連網(wǎng)關(guān)使用限制和詳細(xì)介紹：https://docs.aws.amazon.com/zh_cn/directconnect/latest/UserGuide/direct-connect-gateways.html

二、架構(gòu)圖

我們國內(nèi)阿里云是在華北2，海外兩個(gè)AWS的region分布在加利福尼亞和法蘭克福，所以我們選擇AWS的新加坡region作為專線的接入點(diǎn)，在新加坡建立直連網(wǎng)關(guān)，AWS的其他region分別關(guān)聯(lián)到這個(gè)直連網(wǎng)關(guān)

三、實(shí)施

1、阿里側(cè)

選擇一家專線提供商，開始實(shí)施，專線廠商都會(huì)有阿里云上配置的操作手冊(cè)，按文檔操作完成后，會(huì)在阿里云的高速通道--》物理專線連接--》邊界路由器里面會(huì)生成一個(gè)邊界路由器；在高速通道--》專有網(wǎng)絡(luò)連接--》路由器接口里面生成兩個(gè)路由接口，一個(gè)是邊界路由接口，一個(gè)是VPC路由接口。

a、在高速通道--》物理專線連接--》邊界路由器--》選擇剛才生成的邊界路由器，這里需要做的操作就是添加路由，一條路由是指向阿里云VPC的，下一跳是VPC路由接口；其他路由是指向?qū)＞€方向的，下一跳是邊界路由接口

b、在高速通道--》專有網(wǎng)絡(luò)連接--》路由器接口--》選擇剛才生成的VPC路由接口，配置路由，目標(biāo)網(wǎng)段就是AWS的VPC網(wǎng)段，下一跳就是剛才生成的VPC路由接口

c、配置阿里云的安全組，放行AWS的6個(gè)vpc網(wǎng)段訪問

2、AWS側(cè)

a、在每個(gè)region新建虛擬專用網(wǎng)關(guān)并關(guān)聯(lián)VPC（在法蘭克福和加利福尼亞分別操作）

在VPC控制面板，創(chuàng)建虛擬專用網(wǎng)關(guān)，ASN號(hào)使用默認(rèn)即可

然后選中剛才建的虛擬專用網(wǎng)關(guān)，操作---》附加到VPC，即可關(guān)聯(lián)到VPC

b、在新加坡新建直連網(wǎng)關(guān)，需要注意的是直連網(wǎng)關(guān)的ASN號(hào)，必須是有效范圍內(nèi)的（在新加坡操作）

c、當(dāng)專線廠商給我們開通專線以后，會(huì)在AWS的Direct Connect服務(wù)里面開通一個(gè)虛擬接口，我們?cè)诮邮芴摂M接口時(shí)需要注意，一定要關(guān)聯(lián)到上面建的直連網(wǎng)關(guān)，這是最關(guān)鍵的一步，在沒有直連網(wǎng)關(guān)之前都是關(guān)聯(lián)到虛擬專用網(wǎng)關(guān)，從而也就限制了專線只能訪問到關(guān)聯(lián)該虛擬專用網(wǎng)關(guān)的VPC（在新加坡操作）

d、當(dāng)虛擬接口成功關(guān)聯(lián)到直連網(wǎng)關(guān)之后，會(huì)在直連網(wǎng)關(guān)的虛擬接口附件顯示（在新加坡操作）

e、把虛擬專用網(wǎng)關(guān)關(guān)聯(lián)到直連網(wǎng)關(guān)（在法蘭克福和加利福尼亞分別操作）

當(dāng)狀態(tài)變成"associated”說明已經(jīng)關(guān)聯(lián)成功

f、分別配置每個(gè)VPC的路由表，添加到阿里云VPC的路由策略，下一跳選擇虛擬專用網(wǎng)關(guān)（在法蘭克福和加利福尼亞分別操作）

g、配置ec2的安全組，添加阿里云VPC網(wǎng)段白名單

至此，所有的配置工作已經(jīng)完成，我們已經(jīng)可以從阿里云訪問到aws的法蘭克福和加利福尼亞的任意VPC了